linux系统故障排除

本次实验共包含5个系统故障及其解决办法：一、开机自启动的链接文件被恶意更改 。二、linux系统初始化镜像文件被破坏。三、linux系统内核文件被破坏。四、grub2(引导加载程序)被破坏。五、MBR（主引导记录）的前446字节被破坏

一、开机自启动的链接文件被恶意更改

首先先了解一下服务为何会开机自启动
进入 /etc/systemd/system/multi-user.target.wants/ 查看

可以看到这个目录下的文件都是一些链接文件，所以执行这些文件时其实就是执行链接所指向的文件。可以发现这些链接指向的文件都在/usr/lib/systemd//system/目录下

可以看到很多执行文件
所以开机自启动的过程就是将/usr/lib/systemd//system/下的执行文件在/etc/systemd/system/multi-user.target.wants/下建立相应链接。如下：

那如果这些链接被恶意更改呢？
比如将原本指向开机自动加载图形界面的程序的链接改为指向重启的程序上

那就不能正常启动

解决办法：
重启电脑，出现下图时按上下健，选第一个并按下‘e‘键进入

进入下图界面后在以linux16开头的程序最后加上 数字5（启动级别） 然后按‘ctrl + x‘重新启动系统

这是系统可以正常启动，但下次开机还会故障，因为链接指向仍然时错误的，我们将它改回来

或者ln -s /usr/lib/systemd/system/graphical.target /etc/systemd/system/default.target

二、linux系统初始化镜像文件被破坏

不同系统镜像不同，本次实验系统镜像为/boot/initramfs-3.10.0-123.el7.x86_64.img

解决办法：
1、首先进入救援模式
1.1virt-manager进入虚拟机管理器将系统改为从光盘先启动



进入救援模式



####提示系统挂载在/mnt/sysimage/目录下
2、开始恢复镜像文件
首先切换到真实根目录，然后进入/boot/

发现没有镜像文件，接下来恢复这个文件

然后输入两次exit即可退出重启
接下来关闭机子，将系统恢复为从硬盘先启动

再次开启系统就正常了

三、linux系统内核文件被破坏

本次实验系统内核文件为vmlinuz-3.10.0-123.el7.x86_64

删除后重启就会故障
解决办法：
同样先进入救援模式，和上面一样
然后先切换到根目录 chroot /mnt/sysimage/
创建 挂载镜像的挂载点 mkdir /source/
挂载镜像 mount /dev/cdrom /source/

进入镜像找到内核文件的包，复制到/mnt下

解压可以看到有/boot/目录进入找到内核文件并复制到真实的/boot/下

可以查看到文件被恢复

两次exit退出后自动重启，关闭系统并恢复系统从磁盘启动，即恢复正常

四、grub2(引导加载程序)被破坏

vim /boot/grub2/grub.cfg

可以看到这个文件里都是引导系统去读取哪些文件的，从而确保系统能自己正常启动，如果删除了就需要人为地引导


一共四步:
1、set root=‘hd0,msdos1’ ###指定主引导程序在哪块磁盘上
2、linux16 /boot/vmlinuz-3.10.0-123.el7.x86_64 ro root=/dev/vda1 ####指定读取内核文件，只读方式挂载，（该系统boot分区在/下，如果boot分区是单独出来的分区，可通过df查看是否有/boot/,如果有，直接写 /vmlinuz-3.10.0-123.el7.x86_64 ro root=/dev/vda1 即可）
3、initrd16 /boot/initramfs-3.10.0-123.el7.x86_64.img ####指定初始化镜像文件，与第二个相同的是注意/boot分区是否单独分出来
4、boot
完毕后即可正常启动，但再次重启仍然要人为引导，所以重启后需要恢复文件 grub2-mkconfig > /boot/grub2/grub.cfg

五、MBR（主引导记录）的前446字节被破坏

先查看主引导记录在哪块磁盘上

哪个有*就在哪，可以看到在/dev/vda上

破坏前446字节，然后重启

不能正常启动

解决办法：
先进入挽救模式，然后执行如下操作

两次exit退出，恢复系统从磁盘启动，即可。